製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Traccar LtdのTraccarにおける不正な認証に関する脆弱性

タイトル	Traccar LtdのTraccarにおける不正な認証に関する脆弱性
概要	TraccarはオープンソースのGPS追跡システムです。バージョン6.13.0以前では、DeviceResource.uploadImageはCondition.Permission(User.class, getUserId(), Device.class)を通じてターゲットデバイスの認可を行った後、ただちにアップロードされたコンテンツをmediaManager.createFileStream(...)にストリームとして渡します。BaseObjectResource.updateの一般的なミューテーションパスや明示的なデバイスミューテーションハンドラーupdateAccumulatorsとは異なり、このルートはpermissionsService.checkEdit(getUserId(), Device.class, false, false)を一切呼び出しません。この無視されたガードは、Traccarが非管理者ユーザーに対してreadonlyおよびdeviceReadonly制限を適用する正にその場所です。不正なユーザーはサーバーのメディアディレクトリに保存されているデバイスの画像ファイルを置き換えることが可能です。これにより、UIに表示されるデバイスのメディアや永続化された画像に依存する下流のワークフローが、他のデバイス更新パスが同じ識別情報を適切に拒否しているにもかかわらず変更されてしまいます。この脆弱性はバージョン6.13.0で修正されました。
想定される影響	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年5月26日0:00
登録日	2026年5月29日11:17
最終更新日	2026年5月29日11:17

CVSS3.0 : 警告
スコア	4.3
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

影響を受けるシステム

Traccar Ltd

Traccar 6.13.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-44314	https://www.cve.org/CVERecord?id=CVE-2026-44314
National Vulnerability Database (NVD)
2	CVE-2026-44314	https://nvd.nist.gov/vuln/detail/CVE-2026-44314

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-863	https://cwe.mitre.org/data/definitions/863.html

ベンダー情報

No	名前	URL
GitHub
1	[SECURITY] traccar_001 Vulnerability Report Advisory traccar/traccar GitHub	https://github.com/traccar/traccar/security/advisories/GHSA-33v4-5x2g-7mjm

変更履歴

No	変更内容	変更日
1	[2026年05月29日] 掲載	2026年5月29日11:17

NVD脆弱性情報

CVE-2026-44314

概要	Traccar is an open source GPS tracking system. Prior to 6.13.0, DeviceResource.uploadImage authorizes the target device only through Condition.Permission(User.class, getUserId(), Device.class) and then immediately streams the uploaded body into mediaManager.createFileStream(...). Unlike the generic mutation path in BaseObjectResource.update and the explicit device mutation handler updateAccumulators, this route never invokes permissionsService.checkEdit(getUserId(), Device.class, false, false). The skipped guard is exactly where Traccar enforces readonly and deviceReadonly restrictions for non-admin users. An unauthorized user can replace a device’s stored image file under the server media directory. This allows modification of UI-visible device media and any downstream workflows that rely on the persisted image, despite other device update paths correctly rejecting the same identity. This vulnerability is fixed in 6.13.0.
公表日	2026年5月27日2:16
登録日	2026年5月27日4:08
最終更新日	2026年5月27日23:02

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:traccar:traccar::::::::					6.13.0

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/traccar/traccar/security/advisories/GHSA-33v4-5x2g-7mjm	security-advisories@github.com
2	https://github.com/traccar/traccar/security/advisories/GHSA-33v4-5x2g-7mjm	134c704f-9b21-4f2e-91b3-4a467353bcc0

共通脆弱性一覧